Challenges/Web - Client : Javascript - Obfuscation 1 [Root Me : Hacking and Information Security learning platform]  Challenges/Web - Client : Javascript - Obfuscation 1 [Root Me : Hacking and Information Security learning platform] www.root-me.org  ➡️문제    ➡️풀이 일단 문제를 보기 전에 제목을 확인하는 습관이 있어서 확인해봤는데 혼동, 혼미, 불명료화 라는 의미의 영어단어가 있었고, 자바스크립트는 여기서 쓰인 언어가 js인건지, 어떤 이유로 써있는 것이닞 모르겠지만, 일단 들어가봤다. 들어가보니 위와 ..

🔻 과제 1    일단 내가 수행해야할 미션이 admin page를 접근해야하는 것이고, guest로 로그인하기위한 방법이 제시되어 있다.    우선 제시된 것처럼 guest로 로그인을 해봤다. 이제 admin으로 접속할 방법을 찾아봐야겠다.  proxy를 눌러보니 위와 같이 Request와 Response의 정보가 떴다.해당 문제를 풀기위해서는 Burp Suite을 통해서 접근해야할 것 같은 느낌이 들었다.    프로그램을 실행시켜서 브라우저를 오픈해서 해당 사이트를 들어가니, 에러가 났다.  해당 에러에 대해서 찾아보았는데,  HTTPS를 통해 HTTP포트에 액세스했기 때문에 발생했다고 한다.이해를 잘 못하겠어서 해당 내용과 문제 풀이 방법에 대해 찾아보았다. 일단 해당문제에 proxy부분을 보고 ..

📌웹 기초 지식  이용자가 브라우저를 이용하여 웹서버에 접속브라우저는 이용자의 요청을 해석하여 HTTP형식으로 웹 서버에 리소스를 요청HTTP로 전달된 이용자의 요청을 Server Application에서 해석해석한 이용자의 요청에 따라 적절한 동작을 수행 계좌 송금, 입금과 같은 복잡한 동작을 요구할 경우 내부적으로 필요한 연산을 처리이용자에게 전달할 리소스를 HTTP 형식으로 이용자에게 전달브라우저는 서버에게 응답받은 HTML,CSS,JS 등의 웹 리소스를 시각화하여 이용자에게 보여줌  📌HTTP /HTTPS HTTP란 서버와 클라이언트의 데이터 교환을 요청과 응답 형식으로 정의한 프로토콜을 말한다. HTTP 한계점 : HTTP의 응답과 요청은 평문으로 전달되며, 만약 누군가 이를 가로챈다면 중요..

command-injection-chatgpt | 워게임 | Dreamhack command-injection-chatgpt 특정 Host에 ping 패킷을 보내는 서비스입니다. Command Injection을 통해 플래그를 획득하세요. 플래그는 flag.py에 있습니다. chatGPT와 함께 풀어보세요! Reference Introduction of Webhacking dreamhack.io 📌 내풀이 파일과 서버 정보를 모두 얻었다. 풀이를 해보자. 가장 기본적으로 내가 입력할 수 있는 명령어부터 입력해보았다. flag값을 한번에 얻었다.. 하 풀이가 이렇게 짧게 끝나면 안될 것 같은데.. 당혹 스러움.. 다른 문제를 돌고 돌아 이 문제를 풀었더니 한번에 풀린 것 같고, 가장 기본적인 문제인거같다...

Command Injection Advanced | 워게임 | Dreamhack Command Injection Advanced Description Exercise: Command Injection Advanced에서 실습하는 문제입니다. 문제 수정 내역 2023.07.27 Dockerfile 제공 dreamhack.io 📌 내풀이 서버와 파일을 열어보았다. 문제풀이를 시작해보겠다. 정상적으로 문자를 입력하지 않으니 이렇게 뜬다. 그래서 일단 내 블로그 주소를 넣어보았다. 그랬더니 이렇게 쭈욱 뜬다. 내 블로그에 대한 코드 같았고 cache file: 을 통해 들어가보니까 내 블로그로 들어가졌다. 이 이상은 도움이 필요할 것 같았다. (코드를 다 둘러보고, 다 뒤져봐도 더이상 힌트가 없었기때문 ) 일단..

Challenge 44 (webhacking.kr) Challenge 44 webhacking.kr:10005 📌 내풀이 view - source를 클릭했더니 위와 같은 코드가 떴다. 아이디를 치면 hello! 아이디 라고 뜬다는 것 같은데, 처봤더니 진짜 떴다. 글자수 제한이 있다. 이부분 때문인 것 같다. 글자수 제한있으니 cat보다는 ls를 써보고 싶다는 느낌이 들었다. 이유보다는 직감으로 문제를 푸는 시기..😊 근데 코드에서 주석 처리한 곳을 보니 ls로 실행시키라고 적혀있다. 직감이 확신이 되었다. 이렇게 다양한 시도를 하다보니 어떤식으로 command injection으로 공격을 해야하는 것일까..흠 고민이 들었다. 아직은 알고 있는 메타문자를 어떤 식으로 활용해야할지 잘 모르겠다. 그래서 도..